Mục lục:
I. Giới thiệu về ACL
1. Khái niệm về ACL2. Tầm quan trọng của ACL trong bảo mật mạng
II. Phân loại ACL
1. Standard ACL2. Extended ACL
III. Cách thức hoạt động của ACL
IV. Cấu hình ACL
1. Mô hình triển khai2. Cấu hình Standard ACL
3. Cấu hình Extended ACL
4. Thực hành và kiểm tra cấu hình ACL
V. Kết luận
Tài liệu tham khảo
I. Giới thiệu về ACL
1. Khái niệm về ACL
Access Control List (ACL) là một danh sách các quy tắc được sử dụng để kiểm soát lưu lượng truy cập mạng. ACL giúp xác định và quản lý quyền truy cập vào các tài nguyên mạng, như các tệp tin, thư mục, hoặc dịch vụ mạng.
- Kiểm soát truy cập: ACL cho phép quản trị viên mạng kiểm soát quyền truy cập vào tài nguyên mạng bằng cách xác định rõ ràng ai (dựa trên địa chỉ IP, cổng, giao thức) được phép hoặc không được phép truy cập vào các tài nguyên này. Điều này giúp ngăn chặn các truy cập trái phép từ các nguồn không tin cậy.
- Giảm thiểu tấn công: ACL có thể được cấu hình để chặn các lưu lượng mạng không mong muốn hoặc có nguy cơ, chẳng hạn như lưu lượng từ các địa chỉ IP hoặc dải IP được biết là nguồn gốc của các cuộc tấn công mạng. Giúp giảm thiểu khả năng bị tấn công như DDoS, brute-force, và các hình thức tấn công khác.
- Bảo vệ dữ liệu nhạy cảm: ACL có thể được sử dụng để bảo vệ dữ liệu nhạy cảm bằng cách chỉ cho phép các kết nối từ các máy chủ hoặc thiết bị được xác định trước. Điều này ngăn ngừa truy cập trái phép vào dữ liệu quan trọng.
- Tuân thủ chính sách bảo mật: ACL hỗ trợ việc thực thi các chính sách bảo mật của tổ chức bằng cách đảm bảo rằng các quy tắc và hướng dẫn về bảo mật được thực hiện một cách nhất quán trong toàn bộ mạng.
- Giới hạn vùng mạng: Trong các mạng lớn, ACL có thể được sử dụng để phân chia và giới hạn truy cập giữa các vùng mạng khác nhau (như giữa DMZ và mạng nội bộ), giảm thiểu nguy cơ lan truyền của các cuộc tấn công nội bộ.
1. Standard ACL
Standard ACL chỉ lọc lưu lượng dựa trên địa chỉ IP nguồn. Điều này có nghĩa là các quy tắc trong Standard ACL chỉ xem xét địa chỉ IP của thiết bị gửi gói tin để quyết định cho phép hoặc từ chối gói tin đó. Standard ACL thường được sử dụng khi muốn kiểm soát lưu lượng từ một hoặc một nhóm địa chỉ IP cụ thể mà không cần quan tâm đến các yếu tố khác như giao thức hoặc cổng đích.
2. Extended ACL
Extended ACL cung cấp khả năng lọc lưu lượng dựa trên nhiều tiêu chí hơn, bao gồm địa chỉ IP nguồn, địa chỉ IP đích, giao thức, và cổng. Điều này cho phép tạo ra các quy tắc chi tiết hơn và kiểm soát lưu lượng một cách chính xác hơn. Extended ACL thường được sử dụng khi cần kiểm soát lưu lượng dựa trên nhiều yếu tố khác nhau, chẳng hạn như chỉ cho phép lưu lượng HTTP từ một địa chỉ IP cụ thể đến một máy chủ web.
III. Cách thức hoạt động của ACL
Quy tắc ACL
- Quy tắc cho phép hoặc từ chối: ACL bao gồm các dòng quy tắc (rules), mỗi quy tắc xác định một hành động cụ thể, chẳng hạn như cho phép (permit) hoặc từ chối (deny) lưu lượng dựa trên các tiêu chí như địa chỉ IP nguồn/đích, giao thức, và cổng.
- Thứ tự xử lý: Các quy tắc trong ACL được xử lý từ trên xuống dưới. Thiết bị mạng sẽ kiểm tra từng gói tin so với các quy tắc theo thứ tự. Khi một quy tắc khớp với gói tin, hành động xác định bởi quy tắc đó (cho phép hoặc từ chối) sẽ được thực thi và việc kiểm tra kết thúc.
Tiêu chí lọc
- Standard ACL: Chỉ kiểm tra địa chỉ IP nguồn của gói tin.
- Extended ACL: Kiểm tra nhiều tiêu chí hơn như địa chỉ IP nguồn/đích, giao thức (TCP, UDP, ICMP,...), cổng nguồn và cổng đích.
Áp dụng ACL
- Inbound và Outbound: ACL có thể được áp dụng vào lưu lượng vào (inbound) hoặc lưu lượng ra (outbound) của một interface trên thiết bị mạng.
- Inbound ACL: Lọc gói tin trước khi chúng được định tuyến.
- Outbound ACL: Lọc gói tin sau khi chúng đã được định tuyến.
Implicit Deny
- Implicit Deny: Một quy tắc mặc định (ngầm) được áp dụng cuối cùng, từ chối tất cả các gói tin không khớp với bất kỳ quy tắc nào trước đó. Điều này có nghĩa là nếu gói tin không khớp với bất kỳ quy tắc nào trong ACL, nó sẽ bị từ chối.
Hoạt động của ACL trên thiết bị
Quá trình xử lý gói tin:- Nhận gói tin: Thiết bị mạng nhận gói tin và bắt đầu quá trình kiểm tra với ACL.
- Kiểm tra quy tắc: Thiết bị mạng kiểm tra gói tin với các quy tắc trong ACL theo thứ tự từ trên xuống.
- Thực thi hành động: Khi gói tin khớp với một quy tắc, hành động (cho phép hoặc từ chối) sẽ được thực hiện.
- Kết thúc: Nếu gói tin không khớp với bất kỳ quy tắc nào, nó sẽ bị từ chối bởi quy tắc "Implicit Deny".
1. Mô hình triển khai
Ở đây, chúng ta sẽ áp dụng ACL trên Router R3 tại interface G0/2 để kiểm soát lưu lượng mạng. Mục tiêu là quản lý lưu lượng đi từ PC0 có mạng 192.168.1.0/24 đến mạng 192.168.5.0/24, nơi có Server0 (192.168.5.2). Cụ thể, chúng ta sẽ cho phép lưu lượng từ mạng PC0 đến Server0 và chặn mọi lưu lượng khác. Đối với Extended ACL ta có thể sử dụng thêm một số option khác để hiểu rõ hơn về Extended ACL.
Bảng IP:
Thiết bị | Interface | IPv4 | Subnet mask | Defaul gateway |
R1 | G0/0 | 192.168.1.1 | 255.255.255.0 | N/A |
| G0/1 | 192.168.2.1 | 255.255.255.252 | N/A |
R2 | G0/0 | 192.168.4.1 | 255.255.255.0 | N/A |
| G0/1 | 192.168.3.2 | 255.255.255.252 | N/A |
R3 | G0/0 | 192.168.2.2 | 255.255.255.0 | N/A |
| G0/1 | 192.168.3.1 | 255.255.255.252 | N/A |
G0/2 | 192.168.5.1 | 255.255.255.0 | N/A | |
PC0 | Eth0 | 192.168.1.2 | 255.255.255.0 | 192.168.1.1 |
PC1 | Eth0 | 192.168.4.2 | 255.255.255.0 | 192.168.4.1 |
Server0 | Eth0 | 192.168.5.2 | 255.255.255.0 | 192.168.5.1 |
2. Cấu hình Standard ACL
3. Cấu hình Extended ACL
4. Thực hành và kiểm tra cấu hình ACL
Kiểm tra Standard ACL:
Kiểm tra cấu hình:
Kiểm tra Extended ACL:
Kiểm tra cấu hình:
Với điều kiện đầu tiên "10 permit icmp 192.168.1.0 0.0.0.255 192.168.5.0 0.0.0.255" PC0 được phép ping bình thường:
PC1 bị chặn:
Với điều kiện thứ 2 "20 permit tcp 192.168.1.0 0.0.0.255 host 192.168.5.2 eq www" :
Ta gửi gói tin có thông số port 80 sau để kiểm tra:
Kết quả gói tin được truyền đi thành công:
Ta kiểm tra với gói tin được gửi tới port 443 để kiểm tra:
Đối với PC0 thì gói tin chỉ đến router3 rồi về lại do bị chặn bởi rule:
Còn PC1 thì vẫn truy cập được https:
V. Kết luận
Qua bài viết này, ta đã tìm hiểu về Access Control Lists (ACL) và học được cách thức hoạt động cũng như tầm quan trọng của chúng trong quản lý và bảo mật mạng. Ta đã nắm bắt được rằng ACL giúp kiểm soát lưu lượng mạng, giảm thiểu nguy cơ tấn công, bảo vệ dữ liệu nhạy cảm và hỗ trợ thực thi các chính sách bảo mật. Bên cạnh đó, ta đã phân biệt giữa Standard ACL, chỉ lọc theo địa chỉ IP nguồn, và Extended ACL, cung cấp khả năng lọc chi tiết hơn dựa trên nhiều tiêu chí như địa chỉ IP đích, giao thức và cổng. Thực hành cấu hình ACL trên thiết bị Cisco đã giúp ta hiểu rõ hơn về việc tạo và áp dụng ACL, cũng như kiểm tra hiệu quả của chúng, từ đó nâng cao khả năng bảo mật mạng và quản lý lưu lượng một cách hiệu quả.
Tài liệu tham khảo
Cisco Access Control Lists (ACL)
ACL - Access Control List
